lampion - RunkIntel

# Lampion > Tipo: **banking trojan / stealer** · Grupo Brasileiro - Foco em Portugal · [Unit 42](https://unit42.paloaltonetworks.com/lampion-malware-clickfix-lures/) · [Bitsight](https://www.bitsight.com/blog/brazil-love-new-tactics-lampion) > [!danger] ClickFix, VBS de 50MB e DLL de 700MB > O Lampion e o banking trojan que mais evoluiu suas técnicas de evasão em 2024-2025. A campanha de um grupo brasileiro tornou-se referência de sofisticacao: VBS com 30-50MB de código inutil para dificultar análise, DLL final de 700MB para impossibilitar upload em plataformas de inteligência, e ClickFix como vetor inicial - convencendo vitimas a colar comandos maliciosos no Windows Run. ## Visão Geral [[lampion|Lampion]] (também denominado Lampion Stealer quando referênciado como payload final) e um banking trojan/stealer de origem **brasileira**, ativo desde pelo menos 2019, focado em organizacoes de lingua portuguesa - principalmente **Portugal** - com campanhas também atingindo Brasil. O grupo por tras do Lampion tem demonstrado adaptacao constante de TTPs, tornando-o uma das ameaças financeiras mais persistentes e sofisticadas do panorama LATAM. A evolução do Lampion pode ser segmentada em tres fases operacionais documentadas pela Bitsight: - **Fase 1 (Set/2024):** Transicao de links diretos para arquivos ZIP como anexos de email - **Fase 2 (Dez/2024):** Adicao de ClickFix como vetor de engenharia social - **Fase 3 (Jun/2025):** Adicao de mecanismos de persistência nas primeiras etapas do payload **Caracteristicas técnicas distintas:** - Cadeia VBS multi-estagio altamente obfuscada com 30-50MB de variaveis inutil (junk) - DLL final de 700MB - impossibilita upload em plataformas de threat intelligence - **ClickFix social engineering**: vitima cola comando PowerShell malicioso no Windows Run - IP blacklisting na infraestrutura - pesquisadores de segurança sao bloqueados - Funcoes da DLL final nomeadas em **portugues** - indicativo de autoria lusofona - VMProtect na DLL final para evasão de análise - Infraestrutura distribuida em múltiplos cloud providers com redirecionamentos **Relevância Portugal/Brasil:** O Lampion mira específicamente organizacoes lusofanas - Portugal com foco em bancos, governo, finanças e transportes. O grupo usa contas de email **comprometidas de organizacoes legitimas** para enviar phishing, aumentando dramaticamente a taxa de credibilidade dos ataques. Dezenas de comprometimentos diarios, centenas de sistemas ativos sob controle dos atacantes. ## Como Funciona ### ClickFix - Engenharia Social de Nova Geracao Introduzido em dezembro de 2024, o ClickFix convence a vitima a executar o ataque por conta propria: 1. Email de phishing com arquivo ZIP em anexo (tema: comprovante de transferencia, documentos fiscais) 2. ZIP contem arquivo HTML que redireciona para site falso imitando a **Autoridade Tributaria portuguesa** (`autoridade-tributaria[.]com`) 3. O site exibe prompt instruindo a copiar e colar um comando PowerShell no dialogo Windows Run 4. Comentario em portugues no comando: `#Habilitar Visualizacao de ficheiro` - disfarce de acao legítima 5. Comando baixa e executa o primeiro estagio VBS ### Cadeia VBS de 4 Estagios Cada estagio e independente para dificultar análise forense: **Estagio 1 - VBS Downloader (obfuscado):** - Cheio de variaveis inutil e conversoes indiretas ASCII - Escreve script de segundo estagio em diretorio temporario - Cria tarefa agendada oculta para execução futura (nao executa imediatamente) **Estagio 2 - VBS Stager:** - Baixa terceiro estagio VBS de bucket cloud (disfarado como arquivo PHP) - Remove evidências dos estagios anteriores em `%TEMP%` **Estagio 3 - VBS de Reconhecimento (30-50MB):** - Verifica presenca de softwares de segurança via WMI - Detecta maquinas virtuais e sandboxes - Coleta fingerprint do endpoint (ID de vitima MD5 em Base64) - Cria arquivo .cmd no startup folder com nome do hostname da vitima - Cria tarefa agendada que **forca desligamento do sistema** - Payload so executa no **proximo boot** - dificulta análise DFIR **Estagio 4 - DLL Loader (700MB+):** - DLL enorme para impossibilitar upload em VirusTotal e plataformas similares - Nomes de funções em portugues (exclusivos por vitima) - Executado via `rundll32.exe` - VMProtect para proteção adicional - Finalmente carrega o payload Lampion Stealer ### Lampion Stealer - O Payload Final O Lampion coleta: - Credenciais bancarias de bancos portugueses - Informacoes de sistema: nome da maquina, SO, antivirus, números de serie de hardware - Telemetria enviada para C2 hardcoded via bucket cloud com IP blacklisting ## Attack Flow ```mermaid graph TB A["Phishing com ZIP Conta de email comprometida Tema: comprovante bancario"] --> B["HTML ClickFix Site falso Autoridade Tributaria Prompt PowerShell malicioso"] B --> C["PowerShell Downloader Vitima cola o comando Primeiro VBS baixado"] C --> D["VBS Estagio 1 30-50MB junk Tarefa agendada oculta"] D --> E["VBS Estagio 2-3 Reconhecimento e evasão Fingerprint da vitima"] E --> F["Agendamento de Shutdown Sistema e desligado Payload executa no boot"] F --> G["DLL Loader 700MB VMProtect e funções PT rundll32.exe executa"] G --> H["Lampion Stealer Ativo Credenciais bancarias PT Exfiltração ao C2"] classDef phishing fill:#e74c3c,stroke:#c0392b,color:#fff classDef clickfix fill:#e67e22,stroke:#d35400,color:#fff classDef vbs fill:#f39c12,stroke:#d68910,color:#fff classDef evasion fill:#8e44ad,stroke:#7d3c98,color:#fff classDef persist fill:#2980b9,stroke:#1a5276,color:#fff classDef payload fill:#27ae60,stroke:#229954,color:#fff classDef exfil fill:#2c3e50,stroke:#1a252f,color:#fff class A phishing class B clickfix class C,D vbs class E evasion class F persist class G,H exfil ``` ## Linha do Tempo ```mermaid timeline title Evolução do Lampion 2019 : Primeiras amostras detectadas : Foco em bancos portugueses : Cadeia VBS multi-estagio estabelecida 2021 : Continuidade de operacoes : AWS S3 e WeTransfer como hosting de payload 2024 Set : Transicao para ZIP como anexo de email : Elimina links externos para aumentar confianca 2024 Dez : ClickFix introduzido na cadeia de ataque : Site falso Autoridade Tributaria : Decenas de comprometimentos diarios 2025 Jun : Persistência adicionada ao estagio 1 : Registry e scheduled tasks no VBS inicial ``` | Período | Evento | |---------|--------| | 2019 | Primeiras amostras Lampion detectadas - Portugal como foco | | 2021 | Relatorio Bitsight documenta campanha brasileira de longa duracao | | Set/2024 | Transicao de links para ZIP como anexo - maior taxa de confiança | | Dez/2024 | ClickFix introduzido - Unit 42 e Bitsight documentam nova técnica | | Mai/2025 | Unit 42 pública análise completa da campanha com ClickFix | | Jun/2025 | Persistência adicionada ao estagio 1 do VBS | ## TTPs Mapeados | Tática | Técnica | Uso pelo Lampion | |--------|---------|-----------------| | Initial Access | [[t1566-001-spearphishing-attachment\|T1566.001]] | Email com ZIP (temas de comprovante bancario/fiscal) via contas comprometidas | | Execution | [[t1204-002-user-execution-malicious-file\|T1204.002]] | Vitima executa comando ClickFix voluntariamente | | Execution | [[t1059-001-powershell\|T1059.001]] | PowerShell baixa e executa primeiro VBS via ClickFix | | Execution | [[t1059-005-visual-basic\|T1059.005]] | Cadeia de 3 VBS scripts como estagios de infecção | | Persistence | [[t1053-005-scheduled-task\|T1053.005]] | Tarefa agendada oculta para execução após reboot | | Persistence | [[t1547-001-registry-run-keys\|T1547.001]] | Modificacoes de registro adicionadas em Jun/2025 | | Defense Evasion | [[t1027-002-software-packing\|T1027.002]] | VMProtect na DLL final; VBS inflado com junk de 30-50MB | | Defense Evasion | [[t1497-001-system-checks\|T1497.001]] | Verificação de VM e sandbox no estagio 3 | | Discovery | [[t1082-system-information-discovery\|T1082]] | Coleta de nome de maquina, SO, serial de hardware | | Discovery | [[t1518-001-security-software-discovery\|T1518.001]] | Verificação de antivirus via WMI no estagio 3 | | Credential Access | [[t1555-005-password-managers\|T1555]] | Coleta de credenciais bancarias portuguesas | | Exfiltration | [[t1041-exfiltration-over-c2-channel\|T1041]] | Credenciais e telemetria enviadas a C2 hardcoded | ## Relevância LATAM/Brasil > [!warning] Grupo Brasileiro Atingindo Portugal - Expansao Lusofonos > O Lampion e o exemplo mais claro de um grupo criminoso brasileiro expandindo operações para a comunidade lusofona europeia. O uso de lingua portuguesa nativa nos comentarios do código, nos temas dos emails de phishing e nos nomes de funções da DLL confirma autoria brasileira. A escolha de Portugal como alvo e estratégica: mesma lingua, familiaridade cultural, e sistemas bancarios distintos mas vulneraveis aos mesmos vetores sociais. > [!tip] ClickFix - Técnica em Ascensao Global > O ClickFix, adotado pelo Lampion em dezembro de 2024, rapidamente tornou-se uma das técnicas de maior crescimento em campanhas de malware financeiro. A abordagem e poderosa porque convence o usuario a ser o executor do ataque - eliminando a necessidade de explorar vulnerabilidades e dificultando atribuicao. A mesma técnica foi observada em Lumma Stealer, NetSupport RAT e campanhas de espionagem de estados-nacoes. **Setores impactados:** - [[financial|Financeiro]] - bancos portugueses como alvo primario - [[government|Governo]] - organizacoes governamentais portuguesas - Transportes e servicos públicos portugueses ## Detecção e Defesa > [!tip] Estrategias de Detecção > - **ClickFix Pattern:** Monitorar processos wscript.exe ou powershell.exe iniciados via dialogo Run após evento de clipboard (indicativo de comando colado) > - **VBS Oversized:** Alertar para execução de VBS com tamanho > 5MB - Lampion usa 30-50MB deliberadamente > - **Scheduled Shutdown:** Detectar criação de tarefa agendada que aciona shutdown/restart seguido de arquivo .cmd no startup folder > - **DLL via rundll32 > 500MB:** Monitorar rundll32.exe carregando DLLs com tamanho > 500MB de diretorios temporarios > - **PT-Named Functions:** DLLs com export functions nomeadas em portugues executadas via rundll32 de diretorios suspeitos > - **IP Blacklist na Infra:** Testar acesso a URLs de C2 de IPs de pesquisadores; blacklisting indica infraestrutura Lampion **Controles recomendados:** - Treinar usuarios sobre ClickFix: nenhuma instrução legitima pede que se cole comandos no Windows Run - Monitorar atividade de clipboard e PowerShell via EDR - Bloquear execução de VBScript de diretorios temporarios via AppLocker - Implementar [[m1038-execution-prevention|M1038]] - restricao de execução de scripts VBScript - [[m1017-user-training|M1017]] - treinamento anti-ClickFix específico para equipes financeiras ## Referências - [1](https://unit42.paloaltonetworks.com/lampion-malware-clickfix-lures/) Unit 42 Palo Alto Networks - Lampion Is Back With ClickFix Lures (2025) - [2](https://www.bitsight.com/blog/brazil-love-new-tactics-lampion) Bitsight - From Brazil with Love: New Tactics from Lampion (2025) - [3](https://gbhackers.com/lampion-stealer/) GBHackers - Lampion Stealer Resurfaces with ClickFix Attack (2025) - [4](https://cyberpress.org/lampion-banking-malware-deploys-clickfix-lures/) CyberPress - Lampion Banking Malware Deploys ClickFix Lures (2025) - [5](https://securityonline.info/lampion-malware-returns-with-clickfix-tactics-to-target-portuguese-sectors/) Security Online - Lampion Malware Returns with ClickFix Tactics (2025)